Breaking News

Drupal เพิ่มช่องทาง HTTPS อุดช่องโหว่กระบวนการอัพเดท

หลังจากที่นักวิจัยด้านความปลอดภัยจาก IOActive ได้ออกมาเปิดเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง ซึ่งเสี่ยงต่อการดาวน์โหลดไฟล์ปลอมมาติดตั้งและถูกแฮ็คเว็บไซต์ได้ วันนี้ Drupal ได้เพิ่มช่องทางในการอัพเดทแบบ HTTPS และแก้ไขปัญหาในการอัพเดททั้งหมดเรียบร้อยแล้ว

ปัญหาในกระบวนการอัพเดท 3 ประการประกอบด้วย การไม่เข้ารหัสช่องทางการอัพเดทและไม่ตรวจสอบความถูกต้องของไฟล์, การไม่แจ้งเตือนการอัพเดทล้มเหลว และช่องโหว่ CSRF ที่บังคับให้ตรวจสอบการอัพเดทตลอดเวลา ซึ่งปัญหาเหล่านี้ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อส่งเฟิร์มแวร์แบบ Backdoor สำหรับใช้แฮ็คเว็บไซต์ของผู้ใช้บริการเว็บไซต์ได้ทันที

techtalkthai_it_problem_solving_08

เพิ่มช่องทาง HTTPS แก้ไขปัญหาการไม่เข้ารหัส

หลังจากที่ทีมรักษาความปลอดภัยของ Drupal ทราบข่าว ก็ได้ทำการปรับปรุงแก้ไขกระบวนการอัพเดทให้รองรับการใช้งานแบบ HTTPS เพื่อขจัดปัญหาเรื่องการโจมตีแบบ Man-in-the-Middle ทิ้งไป ผู้ดูแลระบบสามารถอัพเดทเฟิร์มแวร์ผ่าน HTTPS ได้โดยใช้ Drush ซึ่งเป็น Command-line Shell และ Scripting Interface ยอดนิยมสำหรับ Drupal ได้ทันที นอกจากนี้ ลิงค์สำหรับดาวน์โหลดเฟิร์มแวร์ทั้งหมดก็ถูกปรับเป็น HTTPS ด้วยเช่นกัน แต่สำหรับ Core Update Status Module นั้น ขณะนี้กำลังอยู่ในกระบวนการแก้ไข คาดว่าจะถูกเปลี่ยนเป็นช่องทาง SSLในการอัพเดทครั้งถัดไป

เปิดเคสสำหรับติดตามและขอความร่วมมือในการแก้ไขปัญหาที่เหลือ

สำหรับปัญหาเรื่องการไม่แจ้งเตือนการอัพเดทล้มเหลว และช่องโหว่ CSRF นั้น ทาง Drupal ได้ให้คำแนะนำในการรับมือกับปัญหาชั่วคราว แต่ยังไม่ได้ออกแพทช์เพื่อแก้ไขปัญหาแต่อย่างใด อย่างไรก็ตาม ทีมรักษาความปลอดภัยของ Drupal ได้เปิดเคสสำหรับติดตามและแก้ไขปัญหาดังกล่าว รวมทั้งขอความร่วมมือกับนักพัฒนาในการสร้างแพทช์เพื่ออุดช่องโหว่เหล่านี้ สามารถดูรายละเอียดได้ที่ https://www.drupal.org/node/2646306 และ https://www.drupal.org/node/2646328

ที่มา: https://groups.drupal.org/node/506128


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …

ETDA จัดแข่งขัน Thailand CTF Competition 2019 เฟ้นหาตัวแทนไปแข่งขันระดับโลก

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ประกาศจัดการแข่งขัน Thailand CTF Competition 2019 เพื่อเฟ้นหาสุดยอดฝีมือด้านความมั่นคงปลอดภัยไซเบอร์ไปแข่งขันในงาน Security Contest 2019 (SECCON 2019) ระดับโลก นิสิตและนักศึกษาระดับอุดมศึกษา …